Il giorno dopo la pubblicazione in Gazzetta ufficiale del decreto riaperture che lo introduce, oggi doveva prendere il via il passaporto vaccinale all’italiana. Ma il “certificato verde” non ha fatto in tempo a debuttare: il Garante della privacy ha lanciato un avvertimento. Meglio fermarsi. Altrimenti «tutti i soggetti coinvolti nel trattamento dei dati, e in particolare i ministeri interessati e la conferenza delle regioni, possono violare le disposizioni» sulla privacy: se vanno avanti compiono un atto illecito. In gergo tecnico si chiama “avvertimento”. Nella sostanza significa che il governo ha fatto le cose di fretta e male – dal punto di vista della privacy – dunque il progetto è evanescente.

Una “soluzione ponte”

Il passaporto o “green pass” è un codice qr da stampare o esibire in digitale. Se siamo vaccinati, guariti o negativi al Covid-19, dà il via libera ai nostri spostamenti. L’obiettivo comune che si è data l’Europa, perché gli europei possano avere un sistema interoperabile fra i paesi, è giugno. Bruxelles ci ha pure provato a fornire già da subito linee guida dettagliate. Ieri ha condiviso pagine di istruzioni: servono agli stati per iniziare da subito a concepire il “green pass” nel modo migliore e non dover rifare tutto da capo in estate. L’Ue ha persino fornito un software open source, una soluzione concreta sulla quale lavorare. Ma a Roma il governo aveva fretta e nel decreto riaperture ha inserito una “soluzione ponte” nostrana, un “certificato verde” che serve – in aggiunta alle solite motivazioni di lavoro e così via – per entrare o uscire dalle regioni arancioni e rosse. Un timido segnale per aiutare la ripresa del turismo.

I dubbi per la privacy

Guido Scorza, membro del collegio del Garante per la privacy, dice che «i motivi dell’avvertimento sono di forma e di sostanza. Quando si adotta questo tipo di atti, che riguardano dati personali, e dati sanitari in questo caso, bisogna chiedere prima il parere del Garante, che invece non ci è stato chiesto». Anche i contenuti suscitano perplessità: «Manca una base giuridica chiara che specifichi chi fa che cosa con questi dati, chi ne diviene titolare, chi può trattarli, per quanto tempo può conservarli». Questi aspetti «andavano chiariti prima, o nello stesso decreto, o in un apposito dpcm: senza quella base giuridica sulla privacy il progetto non può partire». E non è tutto. Per come sembra essere concepito in sede europea il pass è una sorta di semaforo verde che ci consente di muoverci. Invece «per come è disegnato nel decreto il certificato, pare che dentro ci finiscano una montagna di dati – quando ci siamo vaccinati quando ci siamo ammalati e così via – che non è necessario convogliare nel documento». Scorza si sarebbe aspettato che «a chi controlla arrivasse solo una informazione semaforica, verde o rossa»: un trattamento dei dati «proporzionato». Questi nodi sono cruciali anche perché il pass è pensato per sopravvivere: Roberto Reale, presidente dell’Osservatorio sull’innovazione Eutopian, ha studiato le linee guida condivise dall’Ue l’altro ieri e osserva che «il framework è progettato in modo tale da poter gestire anche eventuali varianti che richiedano test diversi dagli attuali, e mi pare un segnale che questa struttura resterà in piedi anche dopo l’emergenza». Inoltre «Bruxelles fa riferimento anche all’uso del pass per l’accesso ad attività ricreative, anche se poi demanda il tema ad altra sede».

© Riproduzione riservata